Systeme infecté

Résolu
Julien -  
 Lyonnais92 -
Bonjour,
Je pense que mon PC est infecté par un ou plusieur virus. je mets un scan de hijackthis pour celui qui peut m'aider

Merci d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:30:18, on 30/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Documents and Settings\maison\1.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\cj1.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\cj2.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\cj6.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\cj9.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\cj8.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\teste3_p.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\teste2_p.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\teste4_p.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\maison\LOCALS~1\Temp\avto.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7157 bytes
Configuration: Windows XP professional
Internet Explorer 6.0

74 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une infection par des virus ou logiciels malveillants est suspectée après l'analyse d'un rapport HijackThis et la détection de processus et de modules douteux sur le système. Des éléments inquiétants apparaissent dans les sections Run et les barres d'outils indésirables, accompagnés de recommandations pour nettoyer en utilisant Kill Box, redémarrer en mode sans échec et supprimer les fichiers détectés. Plusieurs réponses suggèrent d'associer différents outils antivirus et antispyware, de mettre à jour Windows et les pilotes, et d'effectuer des scans complémentaires pour identifier et neutraliser les menaces. En dernier ressort, l'attention est portée sur des fichiers système spécifiques, comme aadcaad.dll, et sur l'importance de vérifier leur suppression après nettoyage pour éviter une réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    scan avec vundofix (colle le rapport)

    Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

    Double cliquez VundoFix.exe pour l'exécuter.
    Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
    Une fois le scan fini, cliquez sur le bouton Remove Vundo.
    Vous recevrez un avertissement vous demandant si vous voulez effacer ces
    fichiers répondez en cliquant sur YES
    Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
    enlève Vundo.

    Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
    OK.

    puis :

    __________________

    virtumondebegone (colle le rapport)

    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    ______________________

    combofix (colle le rapport)
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    0
  2. Julien
     
    bonjour et merci d'avaoir repondu.

    J'ai fait un scan vundofix et il a trouvé qql chose mais je n'arrive pas avoir de rapport.

    Ensuite avec virtumondebegon le ropport est le suivant

    [12/01/2007, 11:28:22] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\maison\Bureau\VirtumundoBeGone.exe" )
    [12/01/2007, 11:28:26] - Detected System Information:
    [12/01/2007, 11:28:26] - Windows Version: 5.1.2600, Service Pack 1
    [12/01/2007, 11:28:26] - Current Username: maison (Admin)
    [12/01/2007, 11:28:26] - Windows is in NORMAL mode.
    [12/01/2007, 11:28:26] - Searching for Browser Helper Objects:
    [12/01/2007, 11:28:26] - BHO 1: {91AD9DC2-523A-47E2-A598-6C277F16CC50} ()
    [12/01/2007, 11:28:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [12/01/2007, 11:28:26] - Checking for HKLM\...\Winlogon\Notify\aadcaad
    [12/01/2007, 11:28:26] - Key not found: HKLM\...\Winlogon\Notify\aadcaad, continuing.
    [12/01/2007, 11:28:26] - Finished Searching Browser Helper Objects
    [12/01/2007, 11:28:26] - Finishing up...
    [12/01/2007, 11:28:26] - Nothing found! Exiting...

    Et enfin combofix rapport...

    ComboFix 07-11-19.4C - maison 2007-12-01 11:33:24.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.73 [GMT 1:00]
    Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\runsql.exe
    C:\WINDOWS\sv.exe
    C:\WINDOWS\svc.exe
    C:\WINDOWS\svhoster.exe
    C:\WINDOWS\svzip.exe
    C:\WINDOWS\system32\LDR3.tmp
    C:\WINDOWS\system32\LDR5.tmp
    C:\WINDOWS\system32\LDR7.tmp

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-01 to 2007-12-01 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-01 11:17 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2007-11-30 14:40 45,056 -r-hs---- C:\WINDOWS\system32\1033v.exe
    2007-11-30 14:40 144 --ahs---- C:\WINDOWS\system32\1549314879.dat
    2007-11-30 14:37 16,384 --a------ C:\Documents and Settings\maison\1.exe
    2007-11-03 10:13 <REP> d-------- C:\WINDOWS\system32\bits
    2007-11-03 10:13 <REP> d--h----- C:\WINDOWS\$hf_mig$

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-01 10:26 --------- d-----w C:\Program Files\Wanadoo
    2007-11-29 08:21 3,148 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat
    2007-10-19 18:14 --------- d-----w C:\Program Files\Navilog1
    2007-10-18 20:26 --------- d-----w C:\Program Files\DivX
    2007-10-17 04:58 7,456 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    2007-10-17 04:58 2,948 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2007-10-17 04:58 159,776 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2007-10-17 04:58 1,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
    2007-10-17 04:54 --------- d-----w C:\Program Files\Zapu
    2007-10-17 04:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier
    2007-10-17 04:49 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
    2007-10-17 04:49 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
    2007-10-16 20:55 81,408 ----a-w C:\WINDOWS\system32\aadcaad.dll
    2007-10-14 18:16 --------- d-----w C:\Program Files\Trend Micro
    2007-10-14 17:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-10-14 06:41 17,792 ----a-w C:\WINDOWS\system32\drivers\miqvzwcl.dat
    2007-10-12 17:07 --------- d-----w C:\Program Files\Fichiers communs\G DATA
    2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft
    2007-10-05 23:24 52,602 ----a-w C:\WINDOWS\system32\interceptor.sys
    2007-10-05 23:22 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-10-05 23:06 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2007-10-05 20:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
    2007-10-05 19:40 --------- d-----w C:\Documents and Settings\maison\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea
    2007-10-05 19:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea
    2007-10-05 18:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
    2007-10-05 18:11 --------- d-----w C:\Documents and Settings\maison\Application Data\AVG7
    2007-10-04 20:30 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7
    2007-10-03 22:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
    2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
    2007-09-05 22:22 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}]
    2007-10-16 21:55 81408 --a------ c:\windows\system32\aadcaad.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 10:45]
    "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 13:50]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 15:33]
    "Shareaza"="C:\Program Files\Shareaza\Shareaza.exe" [2007-02-05 03:05]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
    "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-07-13 03:37 C:\WINDOWS\RTHDCPL.EXE]
    "EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 10:54]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49]
    "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55]
    "M1000Mnt"="M1000Rmv.exe" []
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-02 11:25]
    "VirusGarde"="C:\Program Files\VirusGarde\pgs.exe" []
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 20:54]
    "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 10:45]

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 03:44:06]
    WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 10:10:02]

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoControlPanel"= 1 (0x1)
    "NoWindowsUpdate"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "UpdateWin"= C:\WINDOWS\System32\1033v.exe

    R0 nvrfhgrt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\miqvzwcl.dat
    S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys
    S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys

    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-01 11:35:05
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-01 11:35:40
    C:\ComboFix2.txt ... 2007-11-04 20:20
    C:\ComboFix3.txt ... 2007-10-23 20:58
    .
    --- E O F ---
    0
  3. superboy1 Messages postés 26 Date d'inscription   Statut Membre 2
     
    Salut!
    Le mieux si tu es vraiment infecté de virus, investit toi dans un anti virus (de valeur sur et de simplicité) ou dans avast un anti virus gratuit mais puissant!!
    0
  4. Julien
     
    slt, je suis equipé d'avast antivirus (version gratuite) mais commecela fait qql mois que j'ai recuperé cet tour j'essaye de la remettre a niveau et de la nettoyer.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. superboy1 Messages postés 26 Date d'inscription   Statut Membre 2
     
    es ce que tu lui a fait faire un scan, je suppose que oui mais il détecte quelque chose? sinon nettoyer c'est simple soit tu formate si tu connait tous les drivers des périphériques, que ta gardé les donnés importantes pour toi et le code windows soit tu paufine comme la mais n'oubli pas de défragmenter et utiliser scan disque, et regarder qu'es qui se boot au démarrage avec msconfig
    0
  7. Julien
     
    re, oui j'ai fait un scan et il a detecté qql chose dans le dossier windows system 32 et je ne peu pas formaté car je ne connais pas les peripherique et je n'ai pas de code windows car j'ai recuperé cette tour du travail a mon beau pere.
    j'ai pas compris qu'est ce qui se boot au demarage avec msconfig.?

    Sinon pour info mon ordi fonctionne bien il est rapide et tout mais juste quand je fais un scan il trouve un virus win32.

    Voila merci
    0
  8. superboy1 Messages postés 26 Date d'inscription   Statut Membre 2
     
    win32 c'est simple c'est une vraie plaie faut que tu t'en occupe au + vite meme si il é juste pas gentil ,en faite si je me souviens bien, si je ne confond pas avec un autre virus analogue il empeche les applications de se démarrer et + tu laisse le pc tourné plus il se multipli mais un cout d'anti virus et tout remarche!!

    si t'a fait un scan avast en a fait quelque chose??? (je supose que oui mais regarde c'est important) mais normalement ton probleme est résolu!!! et puis si tu aime les scan refaisant un autre lol pour etre sur

    sinon pour demarrer msconfig tu fait exécuter dans le menu demarrer et tu tape msconfig et tu va dans l'onglet démarrage et tu choisis les applications qui ne demarrerons pas au démarrage pour rendre ton pc + rapide et avec moin de fenetre qui s'ouvre au démarrge, regarde ce que c'est tout de meme comme application!!
    0
  9. Julien
     
    re, ecoute je ne sais pas du tout ce qu'a fait avast du virus mais je n'ai plus d'alerte comme quoi je suis infecté par un virus etc... la je relance un scan standard mais je dois y aller alors j'essaye de me connecter ce soir sinon je te post tt ça demain ok.
    Je te remercie. Aplus
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    recolle un rapport hijackthis svp

    ________________

    et colle le rapport d'un scan avec panda (desactive avcast le temps du scan)

    Panda en ligne :
    http://pandasoftware.fr
    0
  11. Julien06 Messages postés 130 Statut Membre
     
    Salut,

    Voila le rapport de hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 09:52:02, on 02/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Shareaza\Shareaza.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbSha0.dll
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
    O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbSha0.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
    O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Mais en fesant l'analyse avec totalscan je me suis fait infecté par un win32 car j'avais desactivé avast je suis deg...

    le virus était déjà là avant !!!!!!

    ______________________

    desinstalle via ton panneau de configuration :
    Share_Accelerator toolbar

    _____________________

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbSha0.dll
    O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
    O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbSha0.dll

    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

    O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe

    O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    _______________________

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\Program Files\VirusGarde\pgs.exe
    c:\windows\system32\aadcaad.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    __________________________

    analyse ce fichier sur virus total et colle moi le rapport
    C:\WINDOWS\System32\1033v.exe

    __________________________

    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général)
    0
  13. superboy1 Messages postés 26 Date d'inscription   Statut Membre 2
     
    Que des points exe!!! lol c'est la ou il agit préférentiellement mais regarde normalement tes applications qui ont été touché soit elle marche soit elle ne marche pas et si ca marche alors c'est bon
    0
  14. Julien06 Messages postés 130 Statut Membre
     
    re, voila le rapport de hijackthis avec ce que tu m'a demandé de faire

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:42:18, on 02/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
    O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
    O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  15. Julien06 Messages postés 130 Statut Membre
     
    ensuite avec smitfraudfix j'ai fait l'option 1 et le rapport donne ceci...

    SmitFraudFix v2.240

    Rapport fait à 18:48:33,51, 02/12/2007
    Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maison\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1
    DNS Server Search Order: 0.0.0.0

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Mais je n'ai pas compris ce que je devais faire en redemarrant en mode sans echec?
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    lance rogue remover et dis moi ce qui est trouvé:

    https://www.01net.com/telecharger/

    _______________

    fix cette ligne:

    O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll

    _________________

    télécharges et installes :

    kill box
    https://www.bleepingcomputer.com/download/linux/

    aide kill box
    http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

    - Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

    - Double-clic sur fix.reg

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le dossier jaune à droite et sélectionne le fichier : c:\windows\system32\aadcaad.dll
    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.
    N'hésite pas à consulter l'Aide killbox

    Vérifie que le fichier c:\windows\system32\aadcaad.dll n'est plus présent.

    ____________________

    recolle un rapport hijackhtis
    0
  17. Julien06 Messages postés 130 Statut Membre
     
    re,

    rogue remover dit apres un scan : Congratulations, R R did not detect any items

    ensuite tu me dis fix cette ligne O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
    dans hijackthis je pense ?? je le fais meme si c'est pas ça lol
    Mais quand je le fixe il ne se supprime pas c'est normal ?

    apres je fais la suite
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    lance rogue remover et dis ce qui est trouvé

    https://www.01net.com/telecharger/

    _________________

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll

    ______________

    télécharges et installes :

    kill box
    https://www.bleepingcomputer.com/download/linux/

    aide kill box
    http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

    - Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

    - Double-clic sur fix.reg

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le dossier jaune à droite et sélectionne le fichier : C:\windows\system32\aadcaad.dll
    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.
    N'hésite pas à consulter l'Aide killbox

    Vérifie que le fichier C:\windows\system32\aadcaad.dll n'est plus présent.

    __________________

    scan avec des antiespions (en mode sans échec):

    spybot : (si vous avez une version instalée avant sept 2007 changer là par la version 1.5)

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

    voir demo d utilisation (merci Balltrap)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    ___________________

    AVG antispyware

    https://www.01net.com/telecharger/

    Tuto :
    http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

    ->Relance AVG AS -> "Analyse" ->"Paramètres"

    Sous la question "Comment réagir ?" :

    -> clique sur "Actions recommandées" et choisis "Quarantaines"
    -> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    Si un fichier est infecté en fin d'analyse

    ->Clique sur "Appliquer toutes les actions "

    ->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

    ->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
    _________________

    recolle un raport hijackthis et dis tes soucis
    0
  19. Julien06 Messages postés 130 Statut Membre
     
    re,
    J'ai fait ce que tu m'a dit avec Killbos et apres j'ai recherché le fichier C:\windows\system32\aadcaad.dll dans le dossier system32 il n'y ai plus seulement un icone aadcaad.dll.bak et killbox n'a pas redemarrer mon pc. J'ai fait tous ça en mode normal car j'ai pas compris quand tu m'as demandé double clic sur fix.reg?
    La je suis entrain de faire l'analyse complete avec AVG... ensuite redemarre en sans echec pour les anti espions.
    Merci
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    ap lus
    0
  21. Julien06 Messages postés 130 Statut Membre
     
    re,
    Voici l'analyse de avg et son rapport
    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 20:21:02 02/12/2007

    + Résultat de l'analyse:

    C:\Documents and Settings\maison\Cookies\maison@pandasoftware.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc120.txt -> TrackingCookie.2o7 : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc136.txt -> TrackingCookie.2o7 : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc16.txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc99.txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc100.txt -> TrackingCookie.Adtech : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc18.txt -> TrackingCookie.Advertising : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc104.txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc25.txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc32.txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc56.txt -> TrackingCookie.Overture : Nettoyé.
    :mozilla.10:C:\Documents and Settings\maison\Application Data\Mozilla\Firefox\Profiles\znqm2fwc.default\cookies.txt -> TrackingCookie.Real : Nettoyé.
    :mozilla.7:C:\Documents and Settings\maison\Application Data\Mozilla\Firefox\Profiles\znqm2fwc.default\cookies.txt -> TrackingCookie.Real : Nettoyé.
    :mozilla.9:C:\Documents and Settings\maison\Application Data\Mozilla\Firefox\Profiles\znqm2fwc.default\cookies.txt -> TrackingCookie.Real : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc121.txt -> TrackingCookie.Real : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc60.txt -> TrackingCookie.Real : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc108.txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc145.txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc146.txt -> TrackingCookie.Sextracker : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc28.txt -> TrackingCookie.Sextracker : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc147.txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc65.txt -> TrackingCookie.Specificclick : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc154.txt -> TrackingCookie.Statcounter : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc158.txt -> TrackingCookie.Tradedoubler : Nettoyé.
    C:\Documents and Settings\maison\Cookies\maison@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc161.txt -> TrackingCookie.Weborama : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc155.txt -> TrackingCookie.Webtrendslive : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc98.txt -> TrackingCookie.Yieldmanager : Nettoyé.
    C:\RECYCLER\S-1-5-21-2025429265-1417001333-725345543-1003\Dc11.txt -> TrackingCookie.Zedo : Nettoyé.

    Fin du rapport

    la je redemarre en mode ss echec et je te post ça.
    0
  • 1
  • 2
  • 3
  • 4